CentOS下iptables：情境實戰

CentOS下iptables：情境實戰

本篇通過實際操作進行iptables應用情境的實際示範。

防火牆設定策略

防火牆的設定策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略：

通策略，預設所有資料包是不允許通過的，對於允許的資料包定義規則。

堵策略則是，預設所有資料包是全部允許通過的，對於要拒絕的資料包定義規則。

一般來說伺服器的防火牆設定都是採用第一種策略，安全性更高，本篇介紹的情境實戰也是採用“通”策略。

情境實戰定義

假定本篇要實現以下情境定義的規則：

1、對所有的地址開放原生80、22、10-21連接埠訪問；

2、對所有的地址開放ICMP協議的資料包訪問；

3、其他未被允許的連接埠禁止訪問。

iptables規則實現

實現以上定義的命令操作：

先清空所有預設規則iptables -F 開放連接埠iptables -I INPUT -p tcp --dport 80 -j ACCEPTiptables -I INPUT -p tcp --dport 22 -j ACCEPT開放ICMPiptables -I INPUT -p icmp -j ACCEPT禁止其他連接埠iptables -A INPUT -j REJECT查看規則iptables -L -n

操作結果：

iptables規則定義要點

在以上的操作過程中有幾個點需要注意：

1、一定要允許22連接埠訪問，否則在輸入iptables -A INPUT -j REJECT時，SSH會立即斷開，無法再進行遠程操作；

2、iptables -A INPUT -j REJECT一定要使用 A 命令追加到規則末尾，不能使用 I 命令插入，使拒絕操作在最後生效；

3、允許連續範圍連接埠可以使用 起始：結束連接埠 來指定。